AO2 - GESTÃO DE RISCO (banco de dados)

Prévia do material em texto

Pergunta 1 
0 / 0,6 pts 
Leia o texto a seguir: 
 
Implementação do tratamento de riscos: 
Claro que nem todos os riscos são criados de forma igual – você deve focar nos 
mais importantes, os assim chamados ‘riscos inaceitáveis’. 
Existem quatro opções que você pode escolher para mitigar cada risco 
inaceitável: 
- Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este 
artigo Visão geral do Anexo A da ISO 27001:2013. 
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro ao 
comprar uma apólice de seguro. 
- Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a de 
modo completamente diferente. 
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco seria maior 
do que o próprio dano. 
Aqui é onde você precisa ser criativo – como reduzir os riscos com o mínimo de 
investimento. 
 
Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a ISO 27001 – 6 
etapas básicas. Tradução de Rhand Leal. Disponível 
em https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-
tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/ (Links para um 
site externo.) . Acesso em: 01 de junho de 2020. 
Considerando as informações apresentadas, avalie as asserções a seguir e a 
relação entre elas: 
 
I. Se o risco estiver acima do nível de aceitação de riscos estabelecido pela 
organização, ocorrerá uma nova iteração no processo de gestão de riscos. 
PORQUE 
II. Riscos residuais são aqueles que restam após a implantação de controles para 
evitar, transferir ou mitigar riscos. 
 
A respeito dessas asserções, assinale a opção correta. 
 
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
As asserções I e II são proposições falsas. 
 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa 
da I. 
 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. 
 
 
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. 
 
Esta alternativa está incorreta, pois as asserções I e II são proposições verdadeiras, e a II 
é uma justificativa da I. 
A asserção I está correta, pois caso o risco esteja acima do nível de aceitação de riscos 
estabelecido pela organização, pode ser necessária nova iteração. 
A asserção II está correta, pois riscos residuais são os riscos restantes após a 
implantação de controles para evitar, transferir ou mitigar riscos. Após a implementação 
de um controle, pode ser que o risco não tenha sido totalmente 
Mitigado e esta diferença é denominada risco residual. 
A asserção II é uma justificativa para a asserção I. 
 
Pergunta 2 
0,6 / 0,6 pts 
Leia o texto: 
 
Para se elaborar uma Política de Segurança da Informação, deve se levar em 
consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de 
praticas para a gestão de segurança da informação, onde podem ser encontradas 
as melhores práticas para iniciar, implementar, manter e melhorar a gestão 
de segurança da informação (Links para um site externo.) em uma organização. 
Para elaboração da política, são necessárias algumas atividades básicas. 
 
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/ (Links para um 
site externo.) Acesso em 27/10/2020 
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
 
Considerando o texto acima e o conteúdo visto, analise as afirmações a seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para realizar 
atividades e instruções operacionais relacionadas à segurança. Representam 
comandos operacionais a serem executados no momento da realização de um 
procedimento de segurança. É importante que exista uma estrutura de registro 
de que esses procedimentos são executados. 
II. Normas são conjuntos de regras gerais de nível estratégico que estão 
baseadas na visão e na missão da empresa. Essas regras representam as 
preocupações da organização sobre a segurança das informações. 
III. A política de segurança deve considerar os negócios, os objetivos da 
organização e sua cultura. 
É verdadeiro o que se afirma em: 
 
II e III apenas. 
 
 
I apenas. 
 
 
III apenas. 
 
 
I e II apenas. 
 
 
I e III apenas. 
 
Alternativa correta. As afirmações I e III estão corretas. Procedimentos e Instruções são 
um conjunto de orientações para realizar atividades e instruções operacionais 
relacionadas à segurança. Representam comandos operacionais a serem executados no 
momento da realização de um procedimento de segurança. É importante que exista uma 
estrutura de registro de que esses procedimentos são executados. Assim como a 
política de segurança deve considerar os negócios, os objetivos da organização e sua 
cultura. 
A afirmação II está incorreta, pois os conjuntos de regras gerais de nível estratégico que 
estão baseadas na visão e na missão da empresa, que representam as preocupações da 
organização sobre a segurança das informações, são as Diretrizes e não normas. 
 
 
Pergunta 3 
0,6 / 0,6 pts 
Leia o texto a seguir: 
 
Risco: efeito da incerteza nos objetivos. 
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou 
negativo. 
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas 
financeiras, de saúde e segurança e ambientais) e podem aplicar–se em 
diferentes níveis (tais como estratégico, em toda a organização, de projeto, de 
produto e de processo). 
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos 
potenciais e às consequências, ou uma combinação destes. 
NOTA 4 O risco em segurança da informação é muitas vezes expresso em 
termos de uma combinação de consequências de um evento (incluindo 
mudanças nas circunstâncias) e a probabilidade (likelihood) associada de 
ocorrência. 
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das 
informações relacionadas a um evento, sua compreensão, seu conhecimento, sua 
consequência ou sua probabilidade. 
NOTA 6 O risco de segurança da informação está associado com o potencial de 
que ameaças possam explorar vulnerabilidades de um ativo de informação ou 
grupo de ativos de informação e, consequentemente, causar dano a uma 
organização. 
Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da 
Informação. 
Considerando as informações apresentadas, avalie as asserções a seguir e a 
relação entre elas: 
 
I. A organização e seus ativos apresentam vulnerabilidades que pode ser 
explorada por uma ameaça. 
PORQUE 
II. O risco de segurança da informação contém uma estimativa das 
consequências de eventos de segurança que produzem impactos nos objetivos 
de negócios. 
 
A respeito dessas asserções, assinale a opção correta. 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa 
da I. 
 
A asserção I é verdadeira, pois uma Ameaça é a “causa potencial de um incidente 
indesejado, que pode resultar em dano para um sistema ou organização” (ISO/IEC, 
2004) e a Vulnerabilidade éuma “fragilidade de um ativo ou grupo de ativos que pode 
ser explorada por uma ou mais ameaças”. 
A asserção II também é verdadeira, pois o risco de segurança de informação contém os 
efeitos de Evento de Segurança da Informação, que representa a ocorrência identificada 
de um estado de sistema, serviço ou rede, indicando uma possível violação da política de 
segurança. 
Entretanto, não existe uma relação de causalidade que justifica a asserção I em função 
da asserção II. 
 
As asserções I e II são proposições falsas. 
 
 
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. 
 
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. 
 
 
Pergunta 4 
0,6 / 0,6 pts 
Leia o texto e analise a figura a seguir: 
 
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança 
da informação (SI) e dá sustentação aos conceitos especificados na ISO 
27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar 
sobremaneira na implementação e certificação de tais sistemas de gestão. 
De acordo com a nova norma, o processo de gestão de riscos de SI é composto 
pelas seguintes atividades: 
 
 
Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos de 
segurança da informação. QSP. Disponível 
em: https://www.qsp.org.br/artigo_27005.shtml (Links para um site externo.) . 
Acesso em: 09 de março de 2021. 
 
Qual alternativa indica corretamente as etapas de tratamento do risco? 
https://www.qsp.org.br/artigo_27005.shtml
 
Instalar antivírus, antispam, firewall e proxy eficientes para proteção. 
 
 
Identificação de ameaças, controles, vulnerabilidades e consequências. 
 
 
Definição do contexto, identificação, análise e aceitação dos riscos. 
 
 
Monitoramento, análise e melhoria dos processos de prevenção ao risco. 
 
 
Modificação, retenção, ação de evitar e compartilhamento do risco. 
 
As etapas do tratamento de risco são modificação, retenção, ação de evitar e 
compartilhamento do risco: 
A modificação ocorre através da implementação de controles específicos; 
O compartilhamento ocorre através da transferência do risco para terceiros; 
A retenção é a aceitação do risco, onde se toma conhecimento do mesmo, mas sem 
adoção de medidas de controle; 
A ação de evitar é a eliminação de atividade ou condição que dá origem a um 
determinado risco. 
 
IncorretaPergunta 5 
0 / 0,6 pts 
Leia o texto a seguir: 
 
Política de segurança 
A política de segurança define os direitos e as responsabilidades de cada um em 
relação à segurança dos recursos computacionais que utiliza e as penalidades às 
quais está sujeito, caso não a cumpra. 
É considerada como um importante mecanismo de segurança, tanto para as 
instituições como para os usuários, pois com ela é possível deixar claro o 
comportamento esperado de cada um. Desta forma, casos de mau 
comportamento, que estejam previstos na política, podem ser tratados de forma 
adequada pelas partes envolvidas. 
 
Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança para Internet. 
Disponível em https://cartilha.cert.br/mecanismos/ (Links para um site externo.). 
Acesso em: 01 de junho de 2020. 
Sobre uma Política de Segurança, considere as seguintes afirmações: 
 
I. Uma política de segurança é um documento aprovado pela alta direção da 
empresa e que garante a provisão de recursos anuais para a área de segurança. 
II. A política de segurança deve ser divulgada apenas na área de tecnologia da 
empresa. 
III. As violações são as quebras de segurança. Estas podem ocorrer de diversas 
maneiras: por meio de ataques provocados por hackers, violações provocadas 
por ataques causados por ex-funcionários de empresas, violações causadas por 
pessoa mal-intencionadas. 
IV. As políticas de segurança devem prever contramedidas para evitar as 
violações, assim como medidas adotadas após a ocorrência dos fatos 
indesejáveis. 
 
Estão corretas apenas as afirmativas: 
 
I, II e III. 
 
 
III e IV. 
 
Esta alternativa está incorreta, pois apenas as afirmativas I, III e IV. 
A afirmativa I está correta, pois, segundo a NBR ISO/IEC 27002:2005, o objetivo da 
política de segurança da informação é prover uma orientação e apoio da diretoria para a 
segurança de informação conforme os requisitos do negócio e as leis e regulamentações 
aplicáveis. 
A afirmativa II está incorreta, pois a política de segurança deve ser divulgada em todas 
as áreas da empresa, sendo válida também para terceiros que utilizem informações da 
empresa. 
A afirmativa III está correta, pois violações podem ocorrer de diversas maneiras: por 
meio de ataques provocados por hackers, violações provocadas por ataques causados 
por ex-funcionários de empresas, violações causadas por pessoa mal-intencionadas. 
A afirmativa IV está correta, porque a política também precisa definir responsabilidade e 
penalidades adequadas no caso de infrações e a forma como ocorrerá a implementação. 
 
II, III e IV. 
https://cartilha.cert.br/mecanismos/
 
 
I, III e IV. 
 
 
II e IV. 
 
 
Pergunta 6 
0,6 / 0,6 pts 
Leia o texto a seguir: 
 
Com o crescimento exponencial dos ataques realizados por cibercriminosos e a 
dependência cada vez maior das empresas pelos recursos tecnológicos, realizar 
uma análise de riscos em TI é essencial, não só para se proteger, mas para seguir 
sobrevivendo no mercado atual. 
(...) 
Os ataques citados acima só tendem a aumentar e, com isso, não basta mais as 
empresas se preocuparem apenas com firewalls e sistemas antivírus. É preciso 
criar uma cultura de proatividade em busca das melhores tecnologias e técnicas 
para manter os seus dados e os de seus clientes a salvo de pessoas mal-
intencionadas. 
A análise de riscos é uma técnica de levantamento de informações acerca de 
processos e sistemas utilizados na empresa de modo a melhorar a governança de 
ativos de TI em relação às vulnerabilidades que podem ser encontradas, 
verificando a probabilidade de ocorrência de determinados eventos e as 
consequências que eles podem trazer para a empresa. 
Existem diversas formas de se pôr em prática uma análise de risco, mas o mais 
importante é entender a fórmula que determina o que é um risco. Ele pode ser 
calculado multiplicando a vulnerabilidade de um ativo e a importância para o 
todo. 
Ou seja, quanto mais vulnerável for um item e quanto mais importante para a 
empresa ele for, maior é o risco que ele corre. Assim, o investimento para 
diminuir esse risco terá que ser maior. 
A análise dos riscos é uma técnica que obedece a um ciclo e deve ser feita 
periodicamente. Ao chegar ao final do ciclo, pode-se recomeçar a fase de coleta 
de informações novamente. 
A ideia é atribuir uma melhoria contínua aos processos, pois assim como a 
tecnologia evolui todos os dias, as ações dos cibercriminosos também, e é 
preciso estar preparado a todo o momento. 
Entre as principais vantagens de implementar uma política de análise de riscos na 
empresa estão o encontro das vulnerabilidades que podem ser utilizadas por 
hackers para acessar os arquivos da empresa. 
Como em muitos casos a empresa tem muitas vulnerabilidades para serem 
corrigidas, é necessário colocar a atenção nos ativos que tem mais importância 
para o negócio da empresa, isto faz como que os investimentos sejam dirigidos 
para o lugar certo de forma equilibrada. 
Assim como evitar que dados sejam perdidos ou corrompidos, interrompendo a 
disponibilidade dos serviços de tecnologia da informação na empresa e causando 
prejuízos que poderiam ter sido evitados, existe também a redução de custos 
com restaurações e manutenção de sistemas. 
 
Fonte: Análise de riscos em TI: o que é, como fazer e mais!. Strong Security, 
2018. Disponível em: https://www.strongsecurity.com.br/blog/analise-de-
riscos-em-ti-o-que-e-como-fazer-e-mais/ (Links para um site externo.) . Acesso 
em: 09 de março de 2021. 
 
Considerando a importância de se realizaro processo de análise de riscos em 
uma empresa, ao se realizar esse processo na empresa deve-se levar em 
consideração os aspectos: 
 
vulnerabilidades, Impactos e legalidade. 
 
 
gravidade, urgência, tendência e transferência 
 
 
confidencialidade, integridade e disponibilidade. 
 
 
pontos fortes, pontos fracos, oportunidades e ameaças 
 
 
ativos, vulnerabilidades, ameaças e impactos. 
 
O que deve ser levado em consideração são os ativos, as vulnerabilidades, as ameaças e 
o impacto para a empresa. 
Os ativos são tudo aquilo que tem valor para a empresa; as vulnerabilidades são os 
pontos fracos dos ativos; as ameaças são os eventos que exploram as vulnerabilidades 
dos ativos; e os impactos são as perdas que a empresa vai ter. Considerando-se que o 
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
risco é a probabilidade de uma ameaça explorar a vulnerabilidade dos ativos gerando 
impactos negativos, esses são os principais elementos que devem ser levados em 
consideração ao se realizar o processo de análise de riscos. 
 
Pergunta 7 
0,6 / 0,6 pts 
Leia o texto a seguir: 
 
Contexto 
 
É necessário entender o significado conceitual de “contexto” e sua aplicação na 
gestão de riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre 
outras definições, que contexto é um substantivo masculino que significa “inter-
relação de circunstâncias que 
acompanham um fato ou uma situação”. 
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade 
de circunstâncias que possibilitam, condicionam ou determinam a realização de 
um texto, projeto, atividade ou mesmo de um evento de segurança da 
informação. Em outras palavras, contexto é o conjunto de circunstâncias que se 
relacionam de alguma forma com um determinado acontecimento. 
É a situação geral ou o ambiente a que está sendo referido um determinado 
assunto. 
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: 
RNP/ESR, 2013. p. 22. 
Considere as seguintes afirmações sobre a etapa de Definição de Contexto: 
 
I. A contextualização é a atividade de mapear todo o ambiente que envolve o 
evento em análise. 
II. São exemplos de escopo e limites: uma aplicação de TI, uma infraestrutura de 
TI, um processo de negócio, departamento de TI, entre outros. 
III. A empresa deve utilizar os critérios de nível de impacto, criticidade e nível de 
risco presente na norma ISO 27005. 
 
É correto o que se afirma em: 
 
I e II, apenas. 
 
Alternativa correta. 
A afirmação I está correta, a etapa inicial do processo de Gestão de Riscos é a Definição 
de Contexto, na qual ocorre a definição do ambiente, escopo, critérios de avaliação, 
entre outras definições. Esta etapa é fundamental para a equipe que realiza a gestão de 
risco conhecer todas as informações sobre a organização. 
A afirmação II está correta, escopo é descrição dos limites do projeto, sua abrangência, 
seus resultados e entregas. São exemplos de escopo e limites: Uma aplicação de TI, A 
infraestrutura de TI, um processo de negócio, o departamento de TI, uma filial, o sistema 
de internet banking de uma instituição financeira, o serviço de e-mail da organização, o 
processo de controle de acesso físico da organização, o datacenter da organização , o 
sistema logístico de distribuição de provas de concurso público nacional, a intranet da 
organização, entre outros. 
A afirmação III está incorreta, pois a norma não define critérios padronizados de risco e 
de criticidade. Os critérios são a forma e o valor (pesos) com que serão valorados os 
riscos e os impacto. 
 
I e III, apenas 
 
 
I, II e III. 
 
 
I, apenas. 
 
 
II e III, apenas. 
 
 
IncorretaPergunta 8 
0 / 0,6 pts 
Leia o texto a seguir: 
 
Estabelecimento de uma Política de Segurança da Informação 
Para construir as políticas de segurança da organização, o comitê deve tomar 
como base os padrões e normas apresentados anteriormente, sendo que dentre 
eles, os mais recomendados para esta finalidade são: A BS7799/ISO17799 e as 
RFC´s de número 2196 (1997) e 2828 (2000). 
Conforme as RFC´s 2196 e 2828, a Política de Segurança é um documento que 
deve descrever as recomendações, as regras, as responsabilidades e as práticas 
de segurança. Entretanto, sabe-se que não existe uma "Política de Segurança 
Modelo" que possa ser implementada em toda e qualquer organização, pois a 
Política deverá ser moldada à especificidade de cada caso. Portanto, elaborar 
uma Política de Segurança é uma tarefa complexa e que necessita ser 
constantemente monitorada, revisada e atualizada. Além disso, os seus 
resultados normalmente só poderão ser notados a médio e longo prazo. É 
fundamental a existência de uma política de segurança que seja realmente 
referência para os colaboradores da organização, possibilitando a garantia dos 
três princípios básicos da segurança da informação: integridade, disponibilidade 
e confiabilidade. 
O comitê criado deverá ser responsável pela gestão da segurança da informação, 
portanto, normalmente, este grupo propõe as políticas necessárias para gestão 
da segurança da informação e seus recursos. Buscando realizar a implantação, 
acompanhamento e revisões periódicas. 
 
Fonte: MARTINS, A. B.; SANTOS, C. A. S. Uma metodologia para implantação de 
um Sistema de Gestão de Segurança da Informação. JISTEM J.Inf.Syst. Technol. 
Manag. (Online) São Paulo, v. 2, n. 2, p. 121-136, 2005. pp. 128-129. Disponível 
em: http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1807-
17752005000200002&lng=en&nrm=iso. Acesso em: 01 de junho de 2020. 
Considerando as informações apresentadas, avalie as asserções a seguir e a 
relação entre elas: 
 
I. Por meio da Política de Segurança da Informação (PSI), a empresa formaliza 
suas estratégias e abordagens para a preservação de seus ativos. 
PORQUE 
II. A política de segurança da informação deve definir responsabilidade e 
penalidades adequadas no caso de infrações e a forma como ocorrerá a 
implementação. 
 
A respeito dessas asserções, assinale a opção correta. 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa 
da I. 
 
 
A asserção I e II são proposições falsas. 
 
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. 
 
 
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. 
 
Alternativa incorreta, pois as asserções I e II são proposições verdadeiras, mas a II não é 
uma justificativa da I. 
A asserção I está correta, pois, segundo NBR ISO/IEC 27002:2005, o objetivo da 
política de segurança da informação é prover uma orientação e apoio da diretoria para a 
segurança de informação conforme os requisitos do negócio e as leis e regulamentações 
aplicáveis. 
A asserção II também é correta, pois ao elaborar a PSI é necessário: Entender e definir 
claramente o processo de desenvolvimento, estabelecer uma forma de obter dados da 
organização, definir responsabilidade e penalidades adequadas. 
A asserção II não é uma justificativa da asserção I, é uma complementação. 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
 
Pergunta 9 
0,6 / 0,6 pts 
Leia o texto: 
 
A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo 
Corporativo de Segurança da Informação e tem por objetivo minimizar a 
ocorrência de ameaças que podem interferir (negativamente) no recurso de 
informação utilizado pela organização para atingir os seus objetivos 
Um risco combina as consequências originadas da ocorrência de um evento 
indesejado e da probabilidade de sua ocorrência. O processo de avaliação de 
riscos quantifica ou descreve o risco qualitativamente, e capacita os gestores a 
priorizar os riscos, de acordo com a sua gravidade percebida. 
 
Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetiv
os%20corporativos%20e%20possibilitar (Links para um site externo.) Acesso 
em: 27//210/2020. 
 
Considerando o exposto no texto acima, assim como o conteúdo visto na 
disciplina, avalie as afirmações a seguir. 
I. A etapa de identificação de riscos é a determinação dos eventos que possam 
causar uma perda potencial, evidenciando seu local, razão e impactos. 
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
II. Uma ameaça tem o potencial de comprometer ativos (tais como: informações, 
processos e sistemas) e, por isso, também as organizações. Ameaças podem ser 
de origem natural ou humana, e podem ser acidentais ou intencionais. 
III. A identificação dos controles existentes é realizada para evitar custos e 
trabalhos desnecessários, por exemplo, na duplicação de controles. Além disso, é 
preciso testar os controles existentes – eles são testados para assegurar que 
estão funcionando corretamente 
É correto o que se afirma em:. 
 
I e III apenas. 
 
 
III apenas. 
 
 
I apenas. 
 
 
I, II e III. 
 
Alternativa Correta. As afirmações I, II e III estão corretas, pois a etapa de identificação 
de riscos é quando são determinados os eventos que possam causar uma perda 
potencial, evidenciando seu local, razão e impactos. Assim como, uma ameaça tem o 
potencial de comprometer ativos, como informações, processos e sistemas, e por isso, 
podem também comprometer as organizações, elas podem ser de origem natural ou 
humana, e podem ser acidentais ou intencionais. Finalmente, a identificação de 
controles existentes é realizada para evitar custos e trabalhos desnecessários, e tão 
importante quanto isso, é realizar testes nos controles existentes, para assegurar que 
estão funcionando corretamente. 
 
II apenas. 
 
 
Pergunta 10 
0,6 / 0,6 pts 
Leia o texto a seguir: 
 
A análise qualitativa de riscos avalia a prioridade dos riscos identificados usando 
a probabilidade de eles ocorrerem, o impacto correspondente nos objetivos do 
projeto [...] 
A análise quantitativa de risco é o processo de analisar numericamente o efeito 
dos riscos identificados nos objetivos gerais do projeto. 
Fonte: PROJECT MANAGEMENT INSTITUTE (PMI). Um guia do conjunto de 
conhecimentos em gerenciamento de projetos: Guia PMBOK. 3. ed. Newtown 
Square: PMI, 2004. 
Considerando as informações apresentadas, avalie as asserções a seguir e a 
relação entre elas: 
 
I. Durante o processo de gerenciamento de riscos, somente a metodologia de 
análise quantitativa deve ser utilizada. 
PORQUE 
II. Na metodologia de análise de qualitativa não são atribuídos valores 
monetários aos ativos, consequências e controles, mas escalas de atributos. 
 
A respeito dessas asserções, assinale a opção correta. 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa 
da I. 
 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. 
 
Alternativa correta. 
A asserção I está incorreta, A análise pode ser realizada segundo a metodologia 
qualitativa, quantitativa ou a combinação das duas, dependendo das circunstâncias. A 
metodologia qualitativa é principalmente utilizada para uma verificação inicial dos riscos, 
quando não estão disponíveis dados numéricos em quantidade suficiente. 
A asserção II está correta, análise qualitativa se baseia na avaliação, através de atributos 
qualificadores e descritivos, da intensidade das consequências e probabilidade de 
ocorrência do risco identificado. Por exemplo, a probabilidade de ocorrência pode ser 
Baixa, Média, Alta, Muito Alta e Elevada. As consequências ou impactos pode ser Alto, 
Médio e Baixo. 
 
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. 
 
 
A asserções I e II são proposições falsas. 
 
Pontuação do teste: 4,2 de 6